Auf dieser Seite wird beschrieben, wie Sie Standardeinstellungen auf Flottenebene für das GKE-Sicherheitsstatus-Dashboard konfigurieren. Das Sicherheitsstatus-Dashboard bietet Ihnen fundierte und umsetzbare Empfehlungen zur Verbesserung des Sicherheitsstatus Ihrer Cluster. Sie können Einstellungen für das Sicherheitsstatus-Dashboard auf Flottenebene aktivieren.
Sie können Standardeinstellungen auf Flottenebene für die Einstellungen des Sicherheitsstatus-Dashboards für das Scannen des Kubernetes-Sicherheitsstatus erstellen.
Diese Seite richtet sich an Sicherheitsexperten, die eigene Lösungen zur Sicherheitslückenerkennung für eine Flotte von Clustern implementieren möchten. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud -Inhalten verweisen, finden Sie unter Häufig verwendete GKE-Nutzerrollen und ‑Aufgaben.
Bevor Sie diese Seite lesen, sollten Sie sich mit der Übersicht über das Scannen von Arbeitslasten auf Sicherheitslücken vertraut machen.
Informationen zum Konfigurieren dieser Einstellungen für einzelne Cluster finden Sie in den folgenden Ressourcen:
- Arbeitslasten automatisch auf Konfigurationsprobleme prüfen
- Arbeitslasten automatisch auf bekannte Sicherheitslücken scannen (eingestellt)
Standardeinstellungen auf Flottenebene konfigurieren
In diesem Abschnitt wird beschrieben, wie Sie die Features des Sicherheitsstatus-Dashboards als Standardeinstellungen auf Flottenebene konfigurieren. Für alle neuen Cluster, die Sie während der Clustererstellung bei einer Flotte registrieren, sind die angegebenen Sicherheitsstatus aktiviert. Die von Ihnen konfigurierten Standardeinstellungen auf Flottenebene haben Vorrang vor allen Standardeinstellungen für den GKE-Sicherheitsstatus. Die Standardeinstellungen für Ihre GKE-Version finden Sie in der Tabelle der clusterspezifischen Features.
Führen Sie die folgenden Schritte aus, um Standardeinstellungen auf Flottenebene für den Sicherheitsstatus zu konfigurieren:
Console
Rufen Sie in der Google Cloud Console die Seite Feature Manager auf.
Klicken Sie im Bereich Sicherheitsstatus auf Konfigurieren.
Einstellungen auf Flottenebene überprüfen. Alle neuen Cluster, die Sie bei der Flotte registrieren, übernehmen diese Einstellungen.
Optional: Klicken Sie zum Ändern der Standardeinstellungen auf Flotteneinstellungen anpassen. Führen Sie im angezeigten Dialogfeld Standardkonfiguration für Flotten anpassen die folgenden Schritte aus:
- Wählen Sie bei Konfigurationsprüfung aus, ob die Konfigurationsprüfung aktiviert oder deaktiviert werden soll.
- Wählen Sie unter Scannen auf Sicherheitslücken (eingestellt) die gewünschte Stufe für Scannen auf Sicherheitslücken aus. Deaktiviert, Einfach oder Erweitert (empfohlen).
- Klicken Sie auf Speichern.
Wenn Sie die Konfiguration auf Flottenebene für diese Features deaktivieren, werden Ihre aktuellen Arbeitslasten in vorhandenen Mitgliedsclustern weiterhin gescannt und Sie können die Sicherheitsbedenken im Sicherheitsstatus-Dashboard sehen. Neue Cluster, die Sie in dieser Flotte erstellen, werden jedoch nur gescannt, wenn Sie die Sicherheitsstatus-Features für sie einzeln aktivieren.
Klicken Sie auf Konfigurieren, um die Einstellung auf neue Cluster anzuwenden.
Klicken Sie im Dialogfeld zur Bestätigung auf Bestätigen.
Optional: Synchronisieren Sie vorhandene Cluster mit den Standardeinstellungen.
- Wählen Sie in der Liste Cluster in der Flotte die Cluster aus, die Sie synchronisieren möchten.
- Klicken Sie auf Mit Flotteneinstellungen synchronisieren und im angezeigten Bestätigungsdialogfeld auf Bestätigen. Dies kann einige Minuten dauern.
gcloud
Sie benötigen die gcloud CLI-Version 455.0.0 oder höher.
Standardeinstellungen für eine neue Flotte konfigurieren
Sie können eine leere Flotte mit den Features des Sicherheitsstatus-Dashboards erstellen, die Sie aktivieren möchten.
Führen Sie den folgenden Befehl aus, um eine Flotte mit aktivierter Arbeitslastkonfigurationsprüfung zu erstellen:
gcloud container fleet create --security-posture standard
Standardeinstellungen für eine vorhandene Flotte konfigurieren
Führen Sie den folgenden Befehl aus, um die Prüfung der Arbeitslastkonfiguration für eine vorhandene Flotte zu aktivieren:
gcloud container fleet update --security-posture standard
Sicherheitsstatus-Dashboard-Features auf Flottenebene deaktivieren
Führen Sie den folgenden Befehl aus, um die Prüfung der Arbeitslastkonfiguration zu deaktivieren:
gcloud container fleet update --security-posture disabledFühren Sie den folgenden Befehl aus, um das Scannen von Arbeitslasten auf Sicherheitslücken zu deaktivieren:
gcloud container fleet update --workload-vulnerability-scanning disabled
Wenn Sie die Konfiguration auf Flottenebene für diese Features deaktivieren, werden Ihre aktuellen Arbeitslasten in vorhandenen Mitgliedsclustern weiterhin gescannt und Sie können die Sicherheitsbedenken im Sicherheitsstatus-Dashboard sehen. Neue Cluster, die Sie in dieser Flotte erstellen, werden jedoch nur gescannt, wenn Sie die Sicherheitsstatus-Features für sie einzeln aktivieren.
Nächste Schritte
- Google Cloud bietet eine Reihe von Funktionen zum Sichern Ihrer Cluster und Arbeitslasten.
- Erfahren Sie, wie die Prüfung der Arbeitslastkonfiguration häufige Probleme mit der Sicherheitskonfiguration erkennt.